Co to jest CSP?
Content Security Policy (CSP) to nagłówek HTTP ograniczający z jakich źródeł przeglądarka może ładować zasoby (skrypty, style, obrazy, czcionki). Chroni przed atakami XSS (Cross-Site Scripting).
Podstawowy CSP w .htaccess
Header always set Content-Security-Policy "
default-src 'self';
script-src 'self' 'unsafe-inline' https://www.google-analytics.com https://www.googletagmanager.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
font-src 'self' https://fonts.gstatic.com;
img-src 'self' data: https:;
frame-src https://www.youtube.com https://www.google.com;
connect-src 'self' https://www.google-analytics.com"Tryb raportowania CSP (bez blokowania)
Header always set Content-Security-Policy-Report-Only "default-src 'self'; report-uri /csp-report.php"Testowanie CSP
- Chrome DevTools → Console — pokazuje naruszone zasoby
- csp-evaluator.withgoogle.com — ocena bezpieczeństwa CSP
- csper.io — monitoring i raportowanie CSP
Uwaga: Zbyt restrykcyjny CSP może zepsuć funkcjonalność strony. Zacznij od Report-Only i analizuj logi przed pełnym wdrożeniem.
